Политика обработки персональных данных в ООО «Мегаком — ИТ»
Новосибирск
2022 г.
Содержание
1. НАЗНАЧЕНИЕ
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. ОБЛАСТЬ ПРИМЕНЕНИЯ
2.2. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ
2.3. НОРМАТИВНЫЕ ССЫЛКИ
3. КАТЕГОРИИ СУБЪЕКТОВ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ
4. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
7. СРОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
9. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
10. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
11. УТОЧНЕНИЕ, БЛОКИРОВАНИЕ, УНИЧТОЖЕНИЕ И ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
12. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
13. ХРАНЕНИЕ И АРХИВИРОВАНИЕ
14. РАССЫЛКА И АКТУАЛИЗАЦИЯ
ПРИЛОЖЕНИЕ 1 КАТЕГОРИИ СУБЪЕКТОВ ПДН, ЦЕЛИ ОБРАБОТКИ ПДН, КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ В ООО «МЕГАКОМ — ИТ» ПДН
1. Назначение
Настоящая Политика обработки персональных данных в ООО «Мегаком — ИТ» (далее – Политика) определяет основные принципы, цели и условия обработки персональных данных, перечни субъектов и категорий персональных данных, функции ООО «Мегаком — ИТ» при обработке персональных данных, права субъектов персональных данных, а также реализуемые в ООО «Мегаком — ИТ» требования к защите персональных данных.
Обработка персональных данных, объем и содержание обрабатываемых персональных данных определяется в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», другими федеральными законами и подзаконными актами.
2. Общие положения
2.1. Область применения
Настоящая Политика, является общедоступной и подлежит размещению на информационных стендах офисов Общества и на сайте www.mega-com.ru
Требования данной Политики распространяются на всех работников Общества.
2.2. Термины, определения и сокращения
Для целей Политики используются термины и сокращения, определенные в Глоссарии терминов и определений ООО «Мегаком — ИТ», а также следующие:
Абонент – пользователь услугами связи, с которым заключен договор об оказании таких услуг при выделении для этих целей абонентского номера или уникального кода идентификации.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Общество – Общество с ограниченной ответственностью «Мегаком — ИТ» (ООО «Мегаком — ИТ»).
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В контексте настоящей Политики Общество является оператором.
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Посетитель – лицо, не являющееся работником Общества, но временно находящееся на его территории.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Работник – физическое лицо, вступившее в трудовые отношения с ООО «Мегаком — ИТ».
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Субъект персональных данных (Субъект ПДн) – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
ФЗ-152 — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
ИСПДн — информационная система персональных данных.
ПДн — персональные данные.
РФ — Российская Федерация.
ФСТЭК — Федеральная служба по техническому и экспортному контролю.
2.3. Нормативные ссылки
Настоящая Политика разрабатывался с учетом положений следующих нормативных документов:
• Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных»;
• Конституция Российской Федерации от 12.12.1993;
• Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
• Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;
• Федеральный закон Российской Федерации «О персональных данных» от 27.07.2006 № 152-ФЗ;
• Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;
• Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»;
• Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
• Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в РФ»;
• Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
• Постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
• Постановление Правительства № 538 от 27.08.2005 «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность»;
• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства РФ от 09.12.2014 № 1342 «О порядке оказания услуг телефонной связи»;
• Постановлением Правительства Российской Федерации от 31.12.2021 № 2607 «Об утверждении Правил оказания телематических услуг связи»;
• Постановление Правительства Российской Федерации от 31.12.2021 № 2606 «Об утверждении Правил оказания услуг по передаче данных»;
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
• Нормативно-методический документ ФСТЭК России от 15.02.2008 «Об утверждении Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Нормативно-методический документ ФСТЭК России от 05.02.2021 «Об утверждении Методики оценки угроз безопасности информации»;
• Инструкция по обеспечению режима секретности в Российской Федерации, утвержденной постановлением Правительства Российской Федерации от 05.01.2004 № 3-1;
• ГОСТ Р 51583–2014. «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
• Определение Конституционного Суда Российской Федерации от 02.10.2003 №345-О.
3. Категории субъектов и цели обработки персональных данных
В соответствии с положениями Федерального закона № 152 ФЗ «О персональных данных» Общество самостоятельно определяет Категории субъектов ПДн, цели обработки ПДн, категории обрабатываемых ПДн.
Категории субъектов ПДн, Цели обработки ПДн, категории обрабатываемых ПДн приведены в Приложении 1 к настоящей Политике.
4. Принципы обработки персональных данных
Обработка ПДн осуществляется на законной и справедливой основе и в соответствии с п. 6 ФЗ-152.
Обработка ПДн осуществляется с согласия субъекта ПДн, за исключением случаев, предусмотренных ФЗ-152.
Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Обществом.
В случаях, предусмотренных ФЗ-152, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта ПДн на обработку его ПДн разрабатывается на основе Типовой формы письменного согласия и включает в себя, как минимум, следующие сведения:
— фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
— фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);
— наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
— цель обработки ПДн;
— перечень ПДн, на обработку которых дается согласие субъекта ПДн;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
— перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
— срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;
— подпись субъекта ПДн.
Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований на обработку ПДн без согласия субъекта ПДн на обработку его ПДн возлагается на Общество.
В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает законный представитель субъекта ПДн.
В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.
ПДн могут быть получены оператором от лица, не являющегося субъектом ПДн, при условии предоставления оператору подтверждения наличия оснований, предусмотренных ФЗ-152.
Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн Общество вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, предусмотренных ФЗ-152.
Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
В Обществе разрабатывается и утверждается перечень персональных данных, обрабатываемых в Обществе в соответствии с ФЗ-152.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
Обработка ПДн осуществляется как автоматизированная, так и без использования средств автоматизации.
Согласно п. 1 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 № 687, обработка ПДн, содержащихся в ИСПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека.
Обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПДн содержатся в информационной системе ПДн либо были извлечены из нее.
Правила обработки ПДн, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований настоящей Политики.
При обработке ПДн без использования средств автоматизации в Обществе должны выполняться требования Постановления Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
При обработке специальных категорий ПДн, а также биометрических ПДн в Обществе необходимо руководствоваться статьями 10 и 11 1ФЗ-152.
В случае отзыва субъектом ПДн согласия на обработку его ПДн, в Обществе должна быть прекращена их обработка или обеспечено прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества), и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, необходимо уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества). Уничтожение ПДн должно осуществляться в срок, не превышающий тридцати дней с даты поступления отзыва согласия на обработку ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн либо если Общество не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством Российской Федерации.
В случае отзыва согласия на обработку ПДн такая обработка может быть продолжена без согласия субъекта ПДн, при наличии оснований, указанных в пп. 2-11 ч. 1 ст. 6 и ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Хранение ПДн осуществляется в форме, позволяющей определить Субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.
Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5. Права Субъектов персональных данных
Общество гарантирует субъекту ПДн, соблюдение законных прав, установленных Статьями 14 — 17 ФЗ-152.
6. Конфиденциальность персональных данных
Общество и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта ПДн, за исключением случаев, предусмотренных действующим законодательством.
7. Срок обработки персональных данных
Обработка ПДн, в Обществе, осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок обработки персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Сроки обработки ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, приказом Федерального архивного агентства от 20.12.2019 № 236 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроками исковой давности, а также иными сроками, установленными законодательством РФ и организационно-распорядительными документами Общества.
ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, в случае отзыва субъектом персональных данных согласия на обработку его персональных данных если иное не предусмотрено федеральным законом.
8. Передача персональных данных
Общество в ходе своей деятельности может предоставлять персональные данные субъектов третьим лицам в соответствии с требованиями законодательства РФ либо с согласия субъекта ПДн. При этом обязательным условием предоставления ПДн третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности ПДн при их обработке.
В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
Лицо, осуществляющее обработку ПДн по поручению Оператора, не обязано получать согласие субъекта ПДн на обработку его ПДн.
Договоры, заключаемые Обществом, включают в себя условия, касающиеся соблюдения конфиденциальности и обеспечения безопасности ПДн, а также иные условия, предусмотренные законодательством РФ и связанные с обработкой ПДн.
Общество в процессе своей деятельности вправе осуществлять трансграничную передачу ПДн. Трансграничная передача ПДн на территорию иностранных государств может осуществляться Обществом в соответствии с положениями статьи 12 Закона № 152-ФЗ. Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, может осуществляться со стороны Общества в следующих случаях:
•наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн;
•предусмотренных международными договорами Российской Федерации;
•предусмотренных федеральными законами;
•исполнения договора, стороной которого является субъект ПДн;
•защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения согласия в письменной форме субъекта ПДн.
9. Обеспечение безопасности персональных данных
Общество при обработке ПДн предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности ПДн от случайного или несанкционированного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от других неправомерных действий в отношении ПД, предусмотренные ФЗ-152 и подзаконными актами в области защиты персональных данных.
ПДн, полученные Обществом в рамках законных целей не распространяются, а также не предоставляются третьим лицам без согласия Субъекта ПДн, если иное не предусмотрено федеральным законом.
Обработка ПДн, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
При обработке ПДн, осуществляемой без использования средств автоматизации, обеспечивается раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Обществом.
10. Сведения о реализуемых требованиях к защите персональных данных
Общество соблюдает обязанности оператора ПДн установленные статьями № 19-20 ФЗ-152.
В Обществе реализуются следующие требования законодательства в области защиты ПДн:
• требования о соблюдении конфиденциальности ПДн;
• требования об обеспечении реализации Субъектом ПДн своих прав;
• требования об обеспечении точности ПДн, а в необходимых случаях и актуальности по отношению к целям обработки ПДн (с принятием (обеспечением принятия) мер по удалению/уничтожению или уточнению неполных или неточных данных);
• требования к защите ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
• требования об обязанности оператора при сборе ПДн, установленных Статьей 18 ФЗ-152;
• иные требования законодательства.
В соответствии с ФЗ-152 Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области ПДн.
В частности, защита ПДн достигается путем:
• назначения ответственного за обработку и защиту ПДн;
• определения угроз безопасности ПДн при их обработке в информационных системах ПДн;
• обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
• восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• учетом машинных носителей ПДн;
• оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
• разработки подсистемы защиты информации для ИСПДн, учитывающей требования подзаконных актов РФ в области защиты ПДн и результаты моделирования угроз и нарушителей ИСПДн;
• применения средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, для нейтрализации актуальных угроз безопасности;
• издания Обществом документов, определяющих политику Общества в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• издание локальных нормативных актов по вопросам обработки ПДн;
• ознакомления работников, допущенных к обработке ПДн Субъектов ПДн, с требованиями, установленными действующим законодательством РФ в области ПДн, настоящей Политикой, а также локальными нормативными актами Общества и/или обучения указанных работников;
• организации надлежащего порядка работы с персональными данными, осуществляемой с использованием средств автоматизации (в том числе, использование сертифицированного программного обеспечения, разграничение доступа к компьютерам, локальной сети, информационным системам, обрабатывающим персональные данные, установление порядка уничтожения ПДн в информационных системах);
• организации надлежащего порядка работы с персональными данными, осуществляемой без использования средств автоматизации (в том числе, организация надлежащего хранения документов, содержащих персональные данные, установление порядка уничтожения либо обезличивания ПДн, обрабатываемых без средств автоматизации);
• организации доступа работников к информации, содержащей персональные данные Субъектов ПДн, в соответствии с их должностными (функциональными) обязанностями;
• осуществления внутреннего контроля и (или) аудита соответствия обработки ПДн федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике оператора в отношении обработки ПДн, локальным актам оператора.
Оценка вреда, который может быть причинен субъектам персональных данных в Обществе в случае нарушения требований по обработке и обеспечению безопасности персональных данных является определение юридических или иным образом затрагивающих права и законные интересы последствий в отношении субъекта персональных данных, которые могут возникнуть в случае нарушения требований по обработке и обеспечению безопасности персональных данных.
При обработке персональных данных в Обществе определяются и документально оформляются все возможные юридические или иным образом затрагивающие права и законные интересы последствия в отношении субъекта персональных данных, которые могут возникнуть в случае нарушения требований по обработке и обеспечению безопасности персональных данных.
При оценке соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных, для каждой ИСПДн Оператора производится экспертное сравнение заявленной Оператором в своих локальных актах оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных и применяемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством в области персональных данных и изложенных в настоящей Политике.
По итогам сравнений принимается решение о достаточности применяемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством в области персональных данных и возможности или необходимости принятия дополнительных мер или изменения установленного Оператором порядка обработки и обеспечения безопасности персональных данных.
Оценка соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных и принимаемых мер по обработке и обеспечению безопасности персональных данных подписывается лицом, ответственным за организацию обработки персональных данных. По результатам принятых решений, лицом, ответственным за организацию обработки персональных данных организуется работа по их реализации.
11. Уточнение, блокирование, уничтожение и обезличивание персональных данных
Уточнение, блокирование и уничтожение ПДн осуществляется в случаях, предусмотренных Статьей 21 ФЗ-152.
При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн и при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.
Уничтожение части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
Обезличивание ПДн может осуществляться в статистических и иных исследовательских целях за исключением целей продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.
12. Ответственность за нарушение норм, регулирующих обработку персональных данных
Общество и/или Работники Общества, виновные в нарушении требований законодательства РФ о ПДн, а также положений настоящей Политики, несут ответственность, предусмотренную законодательством РФ.
Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн, подлежит возмещению в соответствии с законодательством Российской Федерации.
Приложение № 1
К Политике обработки
персональных данных
в ООО «Мегаком — ИТ»
Категории субъектов ПДн, цели обработки ПДн, категории обрабатываемых в ООО «Мегаком — ИТ» ПДн
В рамках своей производственной деятельности ООО «Мегаком — ИТ» самостоятельно определяет субъекты ПДн и цели обработки ПДн. Полный перечень субъектов ПДн и цели обработки ПДн приведены в Таблице 1.
Таблица 1.
| Субъекты ПДн | Цели обработки ПДн |
| Работники | Обеспечение соблюдения законов и иных нормативных правовых актов Обучение и продвижение по карьере Кадровое обеспечение деятельности Оператора Организация бухгалтерского учета и налоговой отчетности Осуществление начислений и перечислений денежных средств Контроль количества и качества выполняемой работы Обеспечение сохранности имущества Обеспечение соблюдения пропускного и объектового режима в помещениях Оператора, в том числе, установление личности для обеспечения прохода на охраняемую территорию Оператора Размещение на внутренних информационно-справочных ресурсах Общества и в общедоступных источниках персональных данных Заключения договоров на предоставление услуг добровольного медицинского страхования Обеспечение охраны здоровья и жизни, личной безопасности, планирование оповещения на случай непредвиденных обстоятельств Продвижение товаров, работ, услуг на рынке Осуществление деятельности, предусмотренной Уставом Общества |
| Кандидаты на вакантные должности | Обеспечение соблюдения законов и иных нормативных правовых актов Содействие в обучении и трудоустройстве Проверка деловых и личностных качеств |
| Бывшие работники | Обеспечение соблюдения законов и иных нормативных правовых актов Предоставление гарантий и компенсаций, установленных действующим законодательством и локальными нормативными актами Общества Обеспечение соблюдения пропускного и объектового режима в помещениях Оператора, в том числе, установление личности для обеспечения прохода на охраняемую территорию Оператора |
| Родственники работников | Обеспечение соблюдения законов и иных нормативных правовых актов Предоставление гарантий и компенсаций, установленных действующим законодательством и локальными нормативными актами Общества |
| Абоненты | Обеспечение соблюдения законов и иных нормативных правовых актов Исполнение заключенных договоров |
| Пользователи услугами/сервисами Оператора | Обеспечение соблюдения законов и иных нормативных правовых актов Исполнение заключенных договоров |
| Лица, желающие заключить договор на услуги (в том числе услуги связи), использования сервиса с Обществом | Обеспечение соблюдения законов и иных нормативных правовых актов Заключение договоров об оказании услуг/использования сервиса |
| Лица, с которыми заключены договоры гражданско-правового характера | Обеспечение соблюдения законов и иных нормативных правовых актов Исполнение заключенных договоров |
| Посетители Общества | Обеспечение соблюдения законов и иных нормативных правовых актов Обеспечение соблюдения пропускного и объектового режима в помещениях Оператора, в том числе, установление личности для обеспечения прохода на охраняемую территорию Оператора |
| Представители контрагентов Общества, включая контактных лиц контрагентов | Обеспечение соблюдения законов и иных нормативных правовых актов Исполнение заключенных договоров |
| Представители субъектов ПДн | Обеспечение соблюдения законов и иных нормативных правовых актов Обеспечение соблюдения прав и законных интересов субъекта ПДн, уполномочившего представителя на представление его интересов во взаимоотношениях с Обществом |
| Посетители интернет сайтов | Обеспечение соблюдения законов и иных нормативных правовых актов Оказание информационно-статистических услуг |
Для достижения целей обработки ПДн приведенных в таблице 1 в ООО «Мегаком — ИТ» обрабатываются следующие категории ПДн:
• фамилия, имя, отчество (в том числе прежние фамилия, имя, отчество в случае их изменения);
• число, месяц, год рождения;
• место рождения;
• гражданство;
• адрес регистрации (по месту пребывания, месту жительства)/адрес фактического проживания;
• контактный телефон, адрес электронной почты или сведения о других способах связи;
• сведения о семейном положении, о составе семьи, включая фамилии, имена, отчества, даты рождения супругов и близких родственников (отца, матери, братьев, сестер и детей, в том числе усыновителей и усыновленных, дедушек, бабушек и внуков); реквизиты свидетельств о государственной регистрации актов гражданского состояния;
• сведения о годности по состоянию здоровья выполнять трудовую функцию в ООО «Мегаком — ИТ»;
• сведения об образовании, квалификации или наличии специальных знаний, в том числе о послевузовском профессиональном образовании (включая наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании), сведения о наличии ученой степени, о профессиональной переподготовке и (или) повышении квалификации;
• сведения о выполняемой работе с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т.п.);
• номер банковского лицевого счета для перечисления заработной платы;
• информация о заработной плате, в том числе, сведения о сумме заработной платы, иных выплат и вознаграждений за текущий календарный год и два календарных года, предшествующих прекращению предыдущей работы;
• вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи, в том числе, данные паспорта, удостоверяющего личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, наименование органа, выдавшего его, дата выдачи);
• реквизиты страхового свидетельства обязательного пенсионного страхования;
• идентификационный номер налогоплательщика;
• фотография;
и иные персональные данные.